州データ侵害通知法

ほとんどの州のデータ侵害通知法には類似の構成要素が含まれているものの、重要な相違点も存在するため、通知に関して画一的なアプローチでは不十分である。さらに、データ侵害が増加し続ける中、各州は法改正を頻繁かつ多様に行うことで対応しており、コンプライアンス上の課題を生み出している。組織はデータ侵害への備えと対応を優先課題として、こうした法改正を注視しなければならない。

データ「所有」主体に適用される州通知要件の基本概要については、Foleyの「州データ漏洩通知法一覧表」をダウンロードしてください。本一覧表は2025年10月17日現在の情報であり、セキュリティ上の事象・インシデント・漏洩が発生した場合に主体が取るべき推奨措置は具体的な事実関係や状況によって異なるため、あくまで参考情報としてご利用ください。

この表は、データの非所有者を対象としていません。問題のデータを所有していない場合は、適用される法律を参照し、弁護士に相談してください。また、この表は以下を対象としていません：

• 他の法令（例えば、医療保険の携行性と責任に関する法律（HIPAA）やグラム・リーチ・ブライリー法（GLBA）など）の遵守に基づく例外。
• 法人の正当な目的のために、その法人従業員または代理人が個人識別情報（PII）を善意で取得した場合の例外。ただし、当該PIIのさらなる不正な使用または開示がないことを条件とする。
• 個人識別情報（PII）の定義に関する例外事項（例：公開データ、暗号化データ、編集済みデータ、判読不能データ、利用不能データ）。本表は、公開データ、暗号化データ、編集済みデータ、判読不能データ、利用不能データがセーフハーバーの対象となり得るかを示していますが、具体的な指針は状況によって異なります。例えば、暗号化データのみを対象とする州もあれば、暗号化データまたは公開データを対象とする州もあります。
• 事業体が実際の通知または代替通知を提供する方式（例：電子メール、米国郵便など）。
• 通知の内容に関する要件。
• 連邦および州機関が発行するあらゆる指導資料。
• 個人識別情報（PII）以外の情報漏洩に適用される全ての法令に関する包括的な評価

州のデータ漏洩通知法またはその他のデータセキュリティに関する事項について、詳細情報が必要な場合は、下記に記載されている担当者またはFoleyのサイバーセキュリティ業務部門の他のメンバーまでお問い合わせください。